SlideShare uma empresa Scribd logo

Политика повышения осведомленности в вопросах информационной безопасности сотрудников

E
Evgeniy Shauro
1 de 9
Baixar para ler offline
Утверждаю Председатель Правления АКБ «БАНК» ___________И.О. Фамилия ПОЛИТИКА повышения осведомленности в вопросах информационной безопасности сотрудников АКБ «БАНК» Москва 2011 г.
1 Нормативные ссылки Федеральный закон «О банках и банковской деятельности» от 01.12.1990 № 395 в редакции Федерального закона от 03.02.1996 № 17 ФЗ, от 31.07.1998 № 151 ФЗ, от 05.07.1999 № 126 ФЗ, от 08.07.1999 № 136 ФЗ, от 19.06.2001 № 82 ФЗ, от 07.08.2001 №121 ФЗ, от 21.03.2002 № 31 ФЗ с изменениями, внесенными постановлением Конституционного суда РФ от 23.02.1999 № 4; Федеральный закон «О Центральном банке Российской Федерации (Банке России)» от 10 июля 2002 г. № 86 ФЗ; Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149 ФЗ; Стандарт Банка России «Обеспечение информационной безопасности организации банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2010; ГОСТ Р ИСО/МЭК 27001 «Методы и средства обеспечения безопасности. системы менеджмента информационной безопасности. Требования»; ГОСТ Р ИСО/МЭК 27002 «Информационная технология. Методы и средства безопасности. Практические правила менеджмента информационной безопасности». 2
2 Обозначение и сокращения ДИБ: Департамент информационной безопасности; ДИТ: Департамент информационных технологий; КИС: Корпоративная информационная система «Название»; ИТ: Информационные технологии; ИБ: Информационная безопасность. 3
3 Общие положения Настоящая политика рассматривает вопросы обнаружение и реагирования на инциденты информационной безопасности в АКБ «БАНК» (далее Банк). Настоящая политика разработана для повышения уровня ИБ в Банке. Настоящая политика разработана в соответствии с требованиями Стандарта Банка России «Обеспечение информационной безопасности организации банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2010. В Банке должны быть документально определены роли по разработке, реализации планов и программ обучения и повышения осведомленности в области ИБ и по контролю результатов, а также назначены ответственные за выполнение указанных ролей. Настоящая политика обязательна для применения во всех территориальных подразделениях Банка. 4
4 Инструктаж ДИБ должен разработать методику, состав и порядок проведения инструктажа ИБ для сотрудников Банка. Все сотрудники Банка должны в обязательном порядке пройти инструктаж по ИБ, включающий в себя ознакомление с основными направлениями возможных угроз ИБ, которые могут возникать во время работы сотрудников в Банке. Для вновь начинающих работать сотрудников Банка инструктаж по ИБ должен проводиться в течение первых трех рабочих дней с начала работы. Также все вновь начинающие сотрудники Банка должны ознакомиться под роспись с правилами внутреннего распорядка Банка и правилами ИБ для сотрудников Банка; Для уже работающих сотрудников Банка всеми руководителями Управлений Банка должен быть разработан план-график, согласно которому сотрудники Банка должны проходить первый инструктаж по ИБ. Проведение инструктажей по ИБ должны организовываться на регулярной основе не реже 1 раза в год. Для проведения инструктажей по ИБ ДИБ должен разработать журнал учета проведения инструктажей ИБ. Факт проведения инструктажа ИБ в обязательном порядке фиксируется в журнале инструктажей ИБ под роспись сотрудника Банка, для которого проводится данный инструктаж по ИБ. 5
5 Организация обучения персонала В Банке приветствуются процессы, направленные по постоянное повышение уровня знаний, навыков и квалификации для сотрудников Банка. Расходы на проведение обучения должны закладываться в соответствующие статьи расходов и отражаться в бюджетах ДИТ, ДИБ на каждый календарный год. Ежегодно руководители отделов ДИТ Банка должны определять курсы, соответствующие решаемым задачам отделов, составлять графики прохождения курсов своими сотрудниками и направлять их в ДИБ на согласование. Ежегодно руководители отделов ДИБ Банка должны определять курсы, соответствующие решаемым задачам отделов, составлять графики прохождения курсов своими сотрудниками. Для повышения уровня осведомленности сотрудников Банка, ранга уровня руководителей отделов и выше, ДИБ должен разработать программу курсов по вопросам ИБ. ДИБ должен подготовить график обучения сотрудников Банка, ранга уровня руководителей отделов и выше и организовать их обучение. 6
6 Повышение осведомленности персонала Для повышения осведомленности сотрудников Банка ДИБ должен разработать обучающие материалы по вопросам ИБ. ДИБ Банка совместно с ДИТ должен разработать соответствующий раздел на корпоративном сайте («название») и проводить его обновление (актуализацию информации) на регулярной основе. ДИБ должен осуществлять мониторинг средств массовой информации (новостные ленты, аналитические материалы, специализированные форумы и блоги, печатную информацию, другие материалы). ДИБ должен доводить информацию о возможных угрозах ИБ до сотрудников ДИТ, ДИБ, а также других заинтересованных подразделений путем проведения централизованных рассылок информационных сообщений по средствам электронной почты или КИС. 7
7 Контроль ДИБ должен принимать участие в деятельности, направленной на проведение проверок реагирования сотрудниками Банка на факты, подталкивающие к нарушению политик и основ ИБ, такими методами как проведение рассылок писем сомнительного содержания, рассылок писем «счастья», телефонных звонков, другими методами социальной инженерии. ДИБ должен отслеживать эффективность положений настоящей политики, в том числе путем количественного и качественного анализа последовавших действий сотрудников Банка, в ответ на подстрекающие мероприятия ДИБ. Данная деятельность ДИБ не должна расцениваться в качестве нарушения собственных политик ИБ Банка, а должна быть направлена лишь на организацию контроля. Ежегодно ДИБ должен подготавливать и предоставлять отчет о ведущейся и проделанной работе ТОП-менеджеру, курирующему деятельность ДИБ в Банке. 8
8 Ответственность За нарушение правил ИБ все сотрудники Банка, включая руководителей отделов, начальников Управлений и Департаментов Банка несут персональную ответственность в соответствии с правилами трудового распорядка и действующим законодательством. 9

Recomendados

создание программы повышения осведомленности
создание программы повышения осведомленностисоздание программы повышения осведомленности
создание программы повышения осведомленности
LETA IT-company
 
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISCПовышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
RISClubSPb
 
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
UISGCON
 
Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...
Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...
Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...
Expolink
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
Evgeniy Shauro
 
Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.
Вячеслав Аксёнов
 
People-Centric security (intro) rus
People-Centric security (intro) rusPeople-Centric security (intro) rus
People-Centric security (intro) rus
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
RISClubSPb
 

Recomendados

создание программы повышения осведомленности
создание программы повышения осведомленностисоздание программы повышения осведомленности
создание программы повышения осведомленности
LETA IT-company
 
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISCПовышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
Повышение осведомленности пользователей по вопросам ИБ/очный семинар RISC
RISClubSPb
 
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
Владимир Ткаченко - Эффективная программа повышения осведомленности в вопроса...
UISGCON
 
Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...
Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...
Информзащита. Вячеслав Свириденко: "Повышение осведомленности – эффективный и...
Expolink
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасностиПолитика обнаружения и реагирования на инциденты информационной безопасности
Политика обнаружения и реагирования на инциденты информационной безопасности
Evgeniy Shauro
 
Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.
Вячеслав Аксёнов
 
People-Centric security (intro) rus
People-Centric security (intro) rusPeople-Centric security (intro) rus
People-Centric security (intro) rus
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
Проблемы взаимодействия ИБ и ИТ департаментов: взгляд со стороны ИБ/очный сем...
RISClubSPb
 
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
RISClubSPb
 
Управление информационной безопасностью
Управление информационной безопасностьюУправление информационной безопасностью
Управление информационной безопасностью
Вячеслав Аксёнов
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISC
RISClubSPb
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
ISMS audit and implementation
ISMS audit and implementationISMS audit and implementation
ISMS audit and implementation
Вячеслав Аксёнов
 
Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systems
Вячеслав Аксёнов
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
DialogueScience
 
Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииСоздание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполнении
Вячеслав Аксёнов
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсинге
пр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсингепр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсинге
пр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсинге
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)
Вячеслав Аксёнов
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистов
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Сколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииСколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в России
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idcпр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idc
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)
Вячеслав Аксёнов
 
пр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Smallпр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Small
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001
Dmitry Savchenko
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)
Aleksey Lukatskiy
 
Incident management (part 1)
Incident management (part 1)Incident management (part 1)
Incident management (part 1)
Aleksey Lukatskiy
 
Incident management (part 3)
Incident management (part 3)Incident management (part 3)
Incident management (part 3)
Aleksey Lukatskiy
 

Mais conteúdo relacionado

Mais procurados

Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
RISClubSPb
 
Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISC
RISClubSPb
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
DialogueScience
 

Mais procurados (19)

Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
Проблематика подбора специалистов по ИБ на российском рынке труда/очный семин...
 
Управление информационной безопасностью
Управление информационной безопасностьюУправление информационной безопасностью
Управление информационной безопасностью
 
пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1пр Управление инцидентами ИБ (Dozor) v.2.1
пр Управление инцидентами ИБ (Dozor) v.2.1
 
Человек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISCЧеловек смотрящий/очный семинар RISC
Человек смотрящий/очный семинар RISC
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
ISMS audit and implementation
ISMS audit and implementationISMS audit and implementation
ISMS audit and implementation
 
Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systems
 
Управление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до ЯУправление инцидентами информационной безопасности от А до Я
Управление инцидентами информационной безопасности от А до Я
 
Создание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполненииСоздание автоматизированных систем в защищенном исполнении
Создание автоматизированных систем в защищенном исполнении
 
пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9пр Iw про compliance 2013 03-05 16на9
пр Iw про compliance 2013 03-05 16на9
 
пр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсинге
пр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсингепр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсинге
пр Обзор СТО БР ИББС 1.4 Про риски ИБ при аутсорсинге
 
Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)Information Security Presentation (B.E.E.R 2021)
Information Security Presentation (B.E.E.R 2021)
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистов
 
Сколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в РоссииСколько зарабатывают специалисты по информационной безопасности в России
Сколько зарабатывают специалисты по информационной безопасности в России
 
пр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idcпр стоимость утечки информации Iw для idc
пр стоимость утечки информации Iw для idc
 
Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)Clouds security (responsibility and information relations)
Clouds security (responsibility and information relations)
 
пр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Smallпр Лицензия ТЗКИ на мониторинг Small
пр Лицензия ТЗКИ на мониторинг Small
 
Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001Внедрение СУИБ на основе ISO/IEC 27001
Внедрение СУИБ на основе ISO/IEC 27001
 
пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3пр Solar inView Безопасность под контролем, в.1.3
пр Solar inView Безопасность под контролем, в.1.3
 

Destaque

Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)
Aleksey Lukatskiy
 
Incident management (part 1)
Incident management (part 1)Incident management (part 1)
Incident management (part 1)
Aleksey Lukatskiy
 
Incident management (part 3)
Incident management (part 3)Incident management (part 3)
Incident management (part 3)
Aleksey Lukatskiy
 
Создание системы обеспечения ИБ АСТУ электросетевой компании
Создание системы обеспечения ИБ АСТУ электросетевой компанииСоздание системы обеспечения ИБ АСТУ электросетевой компании
Создание системы обеспечения ИБ АСТУ электросетевой компании
DialogueScience
 
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Expolink
 
Incident management (part 4)
Incident management (part 4)Incident management (part 4)
Incident management (part 4)
Aleksey Lukatskiy
 
Incident management (part 5)
Incident management (part 5)Incident management (part 5)
Incident management (part 5)
Aleksey Lukatskiy
 
What is CISO schedule for nearest two years?
What is CISO schedule for nearest two years?What is CISO schedule for nearest two years?
What is CISO schedule for nearest two years?
Aleksey Lukatskiy
 

Destaque (14)

Incident management (part 2)
Incident management (part 2)Incident management (part 2)
Incident management (part 2)
 
Incident management (part 1)
Incident management (part 1)Incident management (part 1)
Incident management (part 1)
 
Incident management (part 3)
Incident management (part 3)Incident management (part 3)
Incident management (part 3)
 
On line вещание лукацкого с базы
On line вещание лукацкого с базыOn line вещание лукацкого с базы
On line вещание лукацкого с базы
 
Создание системы обеспечения ИБ АСТУ электросетевой компании
Создание системы обеспечения ИБ АСТУ электросетевой компанииСоздание системы обеспечения ИБ АСТУ электросетевой компании
Создание системы обеспечения ИБ АСТУ электросетевой компании
 
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиМарат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасности
 
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
Астерит. Марат Хазиев. "Аудит информационной безопасности - всё начинается с ...
 
Incident management (part 4)
Incident management (part 4)Incident management (part 4)
Incident management (part 4)
 
Incident management (part 5)
Incident management (part 5)Incident management (part 5)
Incident management (part 5)
 
ISO 27001 (v2013) Checklist
ISO 27001 (v2013) ChecklistISO 27001 (v2013) Checklist
ISO 27001 (v2013) Checklist
 
пр Сколько зарабатывают специалисты по ИБ в России 2016
пр Сколько зарабатывают специалисты по ИБ в России 2016пр Сколько зарабатывают специалисты по ИБ в России 2016
пр Сколько зарабатывают специалисты по ИБ в России 2016
 
Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013Комплект документов по ISO 27001-2013
Комплект документов по ISO 27001-2013
 
What is CISO schedule for nearest two years?
What is CISO schedule for nearest two years?What is CISO schedule for nearest two years?
What is CISO schedule for nearest two years?
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
 

Semelhante a Политика повышения осведомленности в вопросах информационной безопасности сотрудников

СТО БР ИББС
СТО БР ИББССТО БР ИББС
СТО БР ИББС
Alex Babenko
 
Клиент-ориентированность банка как способ завоевать лояльность и привлечь нов...
Клиент-ориентированность банка как способ завоевать лояльность и привлечь нов...Клиент-ориентированность банка как способ завоевать лояльность и привлечь нов...
Клиент-ориентированность банка как способ завоевать лояльность и привлечь нов...
Prostobank Consulting
 
сто бр иббс 1.0-2014
сто бр иббс 1.0-2014сто бр иббс 1.0-2014
сто бр иббс 1.0-2014
AKlimchuk
 
632.лабораторный практикум по бухгалтерскому учету практическое пособие
632.лабораторный практикум по бухгалтерскому учету практическое пособие632.лабораторный практикум по бухгалтерскому учету практическое пособие
632.лабораторный практикум по бухгалтерскому учету практическое пособие
ivanov1566353422
 
632.лабораторный практикум по бухгалтерскому учету практическое пособие
632.лабораторный практикум по бухгалтерскому учету практическое пособие632.лабораторный практикум по бухгалтерскому учету практическое пособие
632.лабораторный практикум по бухгалтерскому учету практическое пособие
efwd2ws2qws2qsdw
 

Semelhante a Политика повышения осведомленности в вопросах информационной безопасности сотрудников (20)

Тарас Надольный: «изменения будут носить эволюционный характер»
Тарас Надольный: «изменения будут носить эволюционный характер»Тарас Надольный: «изменения будут носить эволюционный характер»
Тарас Надольный: «изменения будут носить эволюционный характер»
 
СТО БР ИББС
СТО БР ИББССТО БР ИББС
СТО БР ИББС
 
Предпринимательство. Итоги деятельности.
Предпринимательство. Итоги деятельности.Предпринимательство. Итоги деятельности.
Предпринимательство. Итоги деятельности.
 
Презентация Коланьков А.В.
Презентация Коланьков А.В.Презентация Коланьков А.В.
Презентация Коланьков А.В.
 
Annual Report 2001 RUS
Annual Report 2001 RUSAnnual Report 2001 RUS
Annual Report 2001 RUS
 
Внедрение СТО БР. Методология и практика
Внедрение СТО БР. Методология и практикаВнедрение СТО БР. Методология и практика
Внедрение СТО БР. Методология и практика
 
Basel 3belarus p640_2014
Basel 3belarus p640_2014Basel 3belarus p640_2014
Basel 3belarus p640_2014
 
Session 2 summary_of_findings_and_recommendations_from_the_recent_fsap_joanna...
Session 2 summary_of_findings_and_recommendations_from_the_recent_fsap_joanna...Session 2 summary_of_findings_and_recommendations_from_the_recent_fsap_joanna...
Session 2 summary_of_findings_and_recommendations_from_the_recent_fsap_joanna...
 
Clr star dream-асст
Clr star dream-асстClr star dream-асст
Clr star dream-асст
 
Клиент-ориентированность банка как способ завоевать лояльность и привлечь нов...
Клиент-ориентированность банка как способ завоевать лояльность и привлечь нов...Клиент-ориентированность банка как способ завоевать лояльность и привлечь нов...
Клиент-ориентированность банка как способ завоевать лояльность и привлечь нов...
 
Формирование и поддержание организационной культуры в отделении ПриватБанк
Формирование и поддержание организационной культуры в отделении ПриватБанкФормирование и поддержание организационной культуры в отделении ПриватБанк
Формирование и поддержание организационной культуры в отделении ПриватБанк
 
Annual Report 2004 RUS
Annual Report 2004 RUSAnnual Report 2004 RUS
Annual Report 2004 RUS
 
роман капинос
роман капиносроман капинос
роман капинос
 
Read more
Read moreRead more
Read more
 
Как выбрать банк для малого бизнеса?
Как выбрать банк для малого бизнеса?Как выбрать банк для малого бизнеса?
Как выбрать банк для малого бизнеса?
 
дипломная презентация по инвестиционным операциям коммерческих банков
дипломная презентация по инвестиционным операциям коммерческих банковдипломная презентация по инвестиционным операциям коммерческих банков
дипломная презентация по инвестиционным операциям коммерческих банков
 
сто бр иббс 1.0-2014
сто бр иббс 1.0-2014сто бр иббс 1.0-2014
сто бр иббс 1.0-2014
 
632.лабораторный практикум по бухгалтерскому учету практическое пособие
632.лабораторный практикум по бухгалтерскому учету практическое пособие632.лабораторный практикум по бухгалтерскому учету практическое пособие
632.лабораторный практикум по бухгалтерскому учету практическое пособие
 
632.лабораторный практикум по бухгалтерскому учету практическое пособие
632.лабораторный практикум по бухгалтерскому учету практическое пособие632.лабораторный практикум по бухгалтерскому учету практическое пособие
632.лабораторный практикум по бухгалтерскому учету практическое пособие
 
Clr квадрига-мемр
Clr квадрига-мемрClr квадрига-мемр
Clr квадрига-мемр
 

Политика повышения осведомленности в вопросах информационной безопасности сотрудников

  • 1. Утверждаю Председатель Правления АКБ «БАНК» ___________И.О. Фамилия ПОЛИТИКА повышения осведомленности в вопросах информационной безопасности сотрудников АКБ «БАНК» Москва 2011 г.
  • 2. 1 Нормативные ссылки Федеральный закон «О банках и банковской деятельности» от 01.12.1990 № 395 в редакции Федерального закона от 03.02.1996 № 17 ФЗ, от 31.07.1998 № 151 ФЗ, от 05.07.1999 № 126 ФЗ, от 08.07.1999 № 136 ФЗ, от 19.06.2001 № 82 ФЗ, от 07.08.2001 №121 ФЗ, от 21.03.2002 № 31 ФЗ с изменениями, внесенными постановлением Конституционного суда РФ от 23.02.1999 № 4; Федеральный закон «О Центральном банке Российской Федерации (Банке России)» от 10 июля 2002 г. № 86 ФЗ; Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149 ФЗ; Стандарт Банка России «Обеспечение информационной безопасности организации банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2010; ГОСТ Р ИСО/МЭК 27001 «Методы и средства обеспечения безопасности. системы менеджмента информационной безопасности. Требования»; ГОСТ Р ИСО/МЭК 27002 «Информационная технология. Методы и средства безопасности. Практические правила менеджмента информационной безопасности». 2
  • 3. 2 Обозначение и сокращения ДИБ: Департамент информационной безопасности; ДИТ: Департамент информационных технологий; КИС: Корпоративная информационная система «Название»; ИТ: Информационные технологии; ИБ: Информационная безопасность. 3
  • 4. 3 Общие положения Настоящая политика рассматривает вопросы обнаружение и реагирования на инциденты информационной безопасности в АКБ «БАНК» (далее Банк). Настоящая политика разработана для повышения уровня ИБ в Банке. Настоящая политика разработана в соответствии с требованиями Стандарта Банка России «Обеспечение информационной безопасности организации банковской системы Российской Федерации. Общие положения» СТО БР ИББС-1.0-2010. В Банке должны быть документально определены роли по разработке, реализации планов и программ обучения и повышения осведомленности в области ИБ и по контролю результатов, а также назначены ответственные за выполнение указанных ролей. Настоящая политика обязательна для применения во всех территориальных подразделениях Банка. 4
  • 5. 4 Инструктаж ДИБ должен разработать методику, состав и порядок проведения инструктажа ИБ для сотрудников Банка. Все сотрудники Банка должны в обязательном порядке пройти инструктаж по ИБ, включающий в себя ознакомление с основными направлениями возможных угроз ИБ, которые могут возникать во время работы сотрудников в Банке. Для вновь начинающих работать сотрудников Банка инструктаж по ИБ должен проводиться в течение первых трех рабочих дней с начала работы. Также все вновь начинающие сотрудники Банка должны ознакомиться под роспись с правилами внутреннего распорядка Банка и правилами ИБ для сотрудников Банка; Для уже работающих сотрудников Банка всеми руководителями Управлений Банка должен быть разработан план-график, согласно которому сотрудники Банка должны проходить первый инструктаж по ИБ. Проведение инструктажей по ИБ должны организовываться на регулярной основе не реже 1 раза в год. Для проведения инструктажей по ИБ ДИБ должен разработать журнал учета проведения инструктажей ИБ. Факт проведения инструктажа ИБ в обязательном порядке фиксируется в журнале инструктажей ИБ под роспись сотрудника Банка, для которого проводится данный инструктаж по ИБ. 5
  • 6. 5 Организация обучения персонала В Банке приветствуются процессы, направленные по постоянное повышение уровня знаний, навыков и квалификации для сотрудников Банка. Расходы на проведение обучения должны закладываться в соответствующие статьи расходов и отражаться в бюджетах ДИТ, ДИБ на каждый календарный год. Ежегодно руководители отделов ДИТ Банка должны определять курсы, соответствующие решаемым задачам отделов, составлять графики прохождения курсов своими сотрудниками и направлять их в ДИБ на согласование. Ежегодно руководители отделов ДИБ Банка должны определять курсы, соответствующие решаемым задачам отделов, составлять графики прохождения курсов своими сотрудниками. Для повышения уровня осведомленности сотрудников Банка, ранга уровня руководителей отделов и выше, ДИБ должен разработать программу курсов по вопросам ИБ. ДИБ должен подготовить график обучения сотрудников Банка, ранга уровня руководителей отделов и выше и организовать их обучение. 6
  • 7. 6 Повышение осведомленности персонала Для повышения осведомленности сотрудников Банка ДИБ должен разработать обучающие материалы по вопросам ИБ. ДИБ Банка совместно с ДИТ должен разработать соответствующий раздел на корпоративном сайте («название») и проводить его обновление (актуализацию информации) на регулярной основе. ДИБ должен осуществлять мониторинг средств массовой информации (новостные ленты, аналитические материалы, специализированные форумы и блоги, печатную информацию, другие материалы). ДИБ должен доводить информацию о возможных угрозах ИБ до сотрудников ДИТ, ДИБ, а также других заинтересованных подразделений путем проведения централизованных рассылок информационных сообщений по средствам электронной почты или КИС. 7
  • 8. 7 Контроль ДИБ должен принимать участие в деятельности, направленной на проведение проверок реагирования сотрудниками Банка на факты, подталкивающие к нарушению политик и основ ИБ, такими методами как проведение рассылок писем сомнительного содержания, рассылок писем «счастья», телефонных звонков, другими методами социальной инженерии. ДИБ должен отслеживать эффективность положений настоящей политики, в том числе путем количественного и качественного анализа последовавших действий сотрудников Банка, в ответ на подстрекающие мероприятия ДИБ. Данная деятельность ДИБ не должна расцениваться в качестве нарушения собственных политик ИБ Банка, а должна быть направлена лишь на организацию контроля. Ежегодно ДИБ должен подготавливать и предоставлять отчет о ведущейся и проделанной работе ТОП-менеджеру, курирующему деятельность ДИБ в Банке. 8
  • 9. 8 Ответственность За нарушение правил ИБ все сотрудники Банка, включая руководителей отделов, начальников Управлений и Департаментов Банка несут персональную ответственность в соответствии с правилами трудового распорядка и действующим законодательством. 9